Forskere har opdaget en genopblussen af Qbot-malware, som blev opdaget i forbindelse med phishing-forsøg rettet mod hotel- og restaurationsbranchen. I mellemtiden er downloadprogrammet FakeUpdates steget til tops.

Vores seneste globale trusselsindeks for december 2023 viste forskere identificere genopblussen af Qbot, fire måneder efter at amerikanske og internationale retshåndhævende myndigheder afviklede dens infrastruktur i Operation Duck Hunt i august 2023. I mellemtiden sprang JavaScript-downloaderen FakeUpdates op på førstepladsen, og uddannelse forblev den mest berørte branche på verdensplan.

Sidste måned blev Qbot brugt malware af cyberkriminelle som en del af et begrænset phishing-angreb rettet mod organisationer i hotel- og restaurationsbranchen. I kampagnen opdagede forskere, at hackere udgivede sig for at være IRS og sendte ondsindede e-mails med PDF-vedhæftninger med integrerede URL'er, der linkede til et Microsoft-installationsprogram. Når det blev aktiveret, udløste det en usynlig version af Qbot, der udnyttede et integreret Dynamic Link Library (DLL). Før det blev fjernet i august, dominerede Qbot trusselsindekset og rangerede som en af de tre bedste ondsindede programmer i 10 måneder i træk. Selvom den ikke er vendt tilbage til listen, vil de kommende måneder afgøre, om den vil genvinde den berømmelse, den havde før.

Reklame

I mellemtiden fortsatte FakeUpdates sin opstigning til toppen efter at være dukket op igen i slutningen af 2023 og nåede nummer et med en global gennemslagskraft på 2%. Nanocore fastholdt også en top fem-placering i seks måneder i træk og tog tredjepladsen i december med nye bidrag fra Ramnit og Glupteba.

At se Qbot i drift mindre end fire måneder efter, at dens distributionsinfrastruktur blev taget ud af drift, er en påmindelse om, at selvom vi kan forstyrre skadelig kampagner, vil aktørerne bag dem tilpasse sig nye teknologier. Derfor opfordres organisationer til at anvende en proaktiv tilgang til endpoint-sikkerhed og udføre due diligence på oprindelsen og formålet med en e-mail.

HLR afslørede også, at “Apache Log4j Remote Code Execution (CVE-2021-44228)“ og ”Web Servers Malicious URL Directory Traversal“ var de mest udnyttede sårbarheder, der påvirkede 46 %-organisationer verden over. ”Zyxel ZyWALL Command Injection (CVE-2023-28771)” fulgte tæt efter med en global påvirkning på 43 %.

Populære malwarefamilier

*Pilene viser ændringen i rangering i forhold til den foregående måned.

Falske opdateringer og Formularbog var den mest almindelige malware sidste måned med indflydelse på 2 % globale organisationer, efterfulgt af Nanokerne med en global effekt på 1 %.

1. ↑ Falske opdateringer – FakeUpdates (også kendt som SocGholish) er et downloadprogram skrevet i JavaScript. Det skriver dataene til disken, før de startes. FakeUpdates kan føre til yderligere angreb via yderligere malware, herunder GootLoader, Dridex, NetSupport, DoppelPaymer og AZORult.
2. ↓ Formularbog – Formbook er en infostealer rettet mod Windows OS og blev først opdaget i 2016. Den markedsføres som Malware as a Service (MaaS) i undergrunds hackingfora på grund af dens stærke undvigelsesteknikker og relativt lave pris. Formbook indsamler legitimationsoplysninger fra forskellige browsere, indsamler skærmbilleder, overvåger og logger tastetryk og kan downloade og køre filer som bestilt af dens C&C.
3. ↑ Nanocore – Nanocore er en fjernadgangstrojan, der er rettet mod brugere af Windows-operativsystemer og blev først observeret i naturen i 2013. Alle versioner af RAT inkluderer grundlæggende plugins og funktioner såsom skærmbilledeoptagelse, kryptovaluta-mining, fjernbetjening af skrivebord og tyveri af webcam-sessioner.
4. ↓ Remcos – Remcos er en RAT, der først opstod i naturen i 2016. Remcos distribuerer sig selv gennem ondsindede Microsoft Office-dokumenter, der er vedhæftet spam-e-mails, og er designet til at omgå Microsoft Windows UAC-sikkerhed og udføre malware med forhøjede rettigheder.
5. ↑ AsyncRat – AsyncRat er en trojansk hest, der er rettet mod Windows-platformen. Denne malware sender information om det inficerede system til en fjernserver. Den modtager kommandoer fra serveren om at downloade og køre plugins, afslutte processer, afinstallere/opdatere sig selv og tage skærmbilleder af det inficerede system.
6. ↓ AgentTesla – AgentTesla er en avanceret RAT, der fungerer som en keylogger og informationstyver, som kan overvåge og indsamle optage offerets tastaturinput, systemtastatur, tage skærmbilleder og stjæle legitimationsoplysninger til en række forskellige softwareprogrammer installeret på offerets computer (herunder Google Chrome, Mozilla Firefox og Microsoft Outlook e-mail-klienten).
7. ↑ Phorpiex – Phorpiex er et botnet (alias Trik), der har været aktivt siden 2010 og på sit højdepunkt kontrollerede mere end en million inficerede værter. Det er kendt for at distribuere andre malwarefamilier via spamkampagner, samt for at køre store spam- og sextortionkampagner.
8. ↓ NJRotte – NJRat er en fjernadgangstrojaner, der primært er rettet mod offentlige myndigheder og organisationer i Mellemøsten. Trojaneren dukkede første gang op i 2012 og har flere funktioner: opfange tastetryk, få adgang til offerets kamera, stjæle legitimationsoplysninger gemt i browsere, uploade og downloade filer, udføre proces- og filmanipulationer og se offerets skrivebord. NJRat inficerer ofre via phishing-angreb og drive-by-downloads og spredes via inficerede USB-nøgler eller netværksdrev, understøttet af Command & Control-serversoftware.
9. ↑ Ramme nitte – Ramnit Trojan er en type malware, der kan stjæle følsomme data. Denne type data kan omfatte alt fra bankoplysninger, FTP-adgangskoder, sessionscookies og personlige data.
10. ↑ Glupteba – Glupteba, der har været kendt siden 2011, er en bagdør, der gradvist har udviklet sig til et botnet. I 2019 omfattede den en C&C-adresseopdateringsmekanisme via offentlige Bitcoin-lister, en integreret browserkapringsfunktion og et routerangreb.

Mest udnyttede sårbarheder  

Sidste måned var “"Apache Log4j fjernudførelse af kode (CVE-2021-44228)"” og “"Webserverens ondsindede URL-kataloggennemgang"” de mest udnyttede sårbarheder, som påvirkede 46 % af organisationer globalt, efterfulgt af “"Zyxel ZyWALL-kommandoinjektion (CVE-2023) -28771)"” med en global effekt på 43 % .

1. ↑ Apache Log4j fjernudførelse af kode (CVE-2021-44228) – Der findes en sårbarhed i Apache Log4j, der kan forårsage fjernudførelse af kode. Hvis denne sårbarhed udnyttes, kan en fjernangriber udføre vilkårlig kode på det berørte system.
2. ↔ Webservere, der gennemløber ondsindet URL-mappe (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, -72501, -72501, CVE-72541, - CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2602, CVE-2602 Der findes en sårbarhed i forbindelse med mappegennemgang på forskellige webservere. Sårbarheden skyldes en inputvalideringsfejl på en webserver, der ikke korrekt renser URI'en for mappegennemgangmønstre. Vellykket udnyttelse kan give uautoriserede eksterne angribere mulighed for at afsløre eller få adgang til vilkårlige filer på den sårbare server.
3. ↔ Zyxel ZyWALL-kommandoinjektion (CVE-2023-28771) – Der er en sårbarhed i forbindelse med kommandoinjektion i Zyxel ZyWALL. Succesfuld udnyttelse af denne sårbarhed ville give eksterne angribere mulighed for at udføre vilkårlige OS-kommandoer på det berørte system.
4. ↓ Kommandoinjektion over HTTP (CVE-2021-43936, CVE-2022-24086) – Der er rapporteret om en sårbarhed i forbindelse med kommandoinjektion via HTTP. En fjernangriber kan udnytte dette problem ved at sende en specialudformet anmodning til offeret. Vellykket udnyttelse vil give en angriber mulighed for at udføre vilkårlig kode på den angrebne computer.
5. ↑ PHP Easter Egg-informationsafsløring (CVE-2015-2051) – Der er rapporteret en sårbarhed i forbindelse med videregivelse af information på PHP-sider. Sårbarheden skyldes forkert webserverkonfiguration. En fjernangriber kan udnytte denne sårbarhed ved at sende en specialudformet URL til en berørt PHP-side.
6. ↑ MVPower CCTV DVR fjernudførelse af kode (CVE-2016-20016) - Der findes en sårbarhed i MVPower CCTV DVR, der kan føre til fjernudførelse af kode. Hvis denne sårbarhed udnyttes, kan en fjernangriber udføre vilkårlig kode på det berørte system.
7. ↓ WordPress bærbar-phpMyAdmin Plugin Godkendelsesomgåelse (CVE-2012-5469) – Der findes en sårbarhed i WordPress portable-phpMyAdmin Plugin til at omgå godkendelse. Vellykket udnyttelse af denne sårbarhed kan give eksterne angribere mulighed for at få adgang til følsomme oplysninger og få uautoriseret adgang til det berørte system.
8. ↑ OpenSSL TLS DTLS Heartbeat Informationsafsløring (CVE-2014-0160, CVE-2014-0346) – OpenSSL TLS DTLS Heartbeat Information Disclosure Der findes en sårbarhed i OpenSSL, der kan afsløre information. Sårbarheden, også kendt som Heartbleed, skyldes en fejl i håndteringen af TLS/DTLS heartbeat-pakker. En angriber kan udnytte denne sårbarhed til at afsløre hukommelsesindholdet på en tilsluttet klient eller server.
9. ↓ HTTP-headere Fjernudførelse af kode – HTTP-headere giver klienten og serveren mulighed for at sende yderligere oplysninger med en HTTP-anmodning. En fjernangriber kan bruge en sårbar HTTP-header til at udføre vilkårlig kode på offerets computer.
10. ↑ D-Links fjernudførelse af flere produkter (CVE-2015-2051) – Der findes en sårbarhed i forbindelse med fjernudførelse af kode i flere D-Link-produkter. Vellykket udnyttelse af denne sårbarhed kan give en fjernangriber mulighed for at udføre vilkårlig kode på det berørte system.

Mest populære mobilmalware

Sidste måned forblev Anubis på førstepladsen som den mest almindelige mobilmalware, efterfulgt af AhMyte og Skjult .

1. Anubis – Anubis er en banktrojansk malware designet til Android-mobiltelefoner. Siden den først blev opdaget, har den fået yderligere funktioner, herunder Remote Access Trojan (RAT), keylogger, lydoptagelsesfunktioner og forskellige ransomware-funktioner. Den er blevet opdaget i hundredvis af forskellige applikationer, der er tilgængelige i Google Store.
2. AhMyte – AhMyth er en fjernadgangstrojaner (RAT) som blev opdaget 2017. Det distribueres via Android-apps, der findes i appbutikker og forskellige websteder. Når en bruger installerer en af disse inficerede apps, kan malwaren indsamle følsomme oplysninger fra enheden og udføre handlinger som keylogging, skærmbilleder, afsendelse af SMS'er og aktivering af kameraet, hvilket almindeligvis bruges til at stjæle følsomme oplysninger.
3. Skjult – Hiddad er en malware til Android, der ompakker legitime apps og derefter frigiver dem til en tredjepartsbutik. Dens primære funktion er at vise annoncer, men den kan også få adgang til vigtige sikkerhedsfunktioner, der er indbygget i operativsystemet.

De mest angrebne industrier globalt

Sidste måned var uddannelse/forskning fortsat den mest målrettede industri globalt, efterfulgt af kommunikation og regering/militær.

1. Uddannelse/forskning
2. Kommunikation
3. Regering/Militær

Check Points Global Trusselspåvirkningsindekset og dets ThreatCloud-kort leveres af Check Point ThreatCloud Intelligens. ThreatCloud leverer trusselsinformation i realtid, der stammer fra hundredvis af millioner af sensorer verden over, på tværs af netværk, endpoints og mobil. Intelligensen er beriget med AI-baserede motorer og eksklusive forskningsdata fra Check Point Research., Check Point Software Technologies efterretnings- og forskningsafdelingen.